server1 - eth0 - 192.168.1.212 (192.168.1.0/24) - eth1 - 192.168.5.1 (192.168.5.0/24) -> router2 -> DSL
сервер2 - eth0 - 192.168.1.223 (192.168.1.0/24) - eth1 - 192.168.123.223 (192.168.123.0/24)
(DSL) router2 <--> server1 <--> server2
на server1
route add -net 192.168.123.0/24 gw 192.168.1.223 dev eth0
iptables -A FORWARD -s 192.168.123.0/24 -d 0/0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -d 192.168.123.0/24 -j ACCEPT
Итак, сеть 192.168.123.0/24 достижима 192.168.1.0/24 и router2 тоже. Все нормально
Я бы хотел запретить сети 192.168.123.0/24 видеть все хосты на 192.168.1.0/24.
Вместо того, чтобы использовать iptables Сам по себе я рекомендую вам использовать пакет управления брандмауэром, такой как Shorewall, для настройки брандмауэра. Там вы можете легко настроить различные зоны в вашей сети и настроить доступ между ними.
Однако, если вы хотите использовать iptables только вы добавляете эту строку после вашего route команда:
iptables -A FORWARD -s 192.168.123.0/24 -d 192.168.1.0/24 -j REJECT